MSAのデータ処理補遺
本データ処理補遺(「DPA」)は、Avettaとクライアント間のAvetta基本サブスクリプション契約(「基本契約」)の規約および条件に組み込まれ、その一部を構成しており、Avettaが基本契約に基づいてサービスを提供する際の個人データの取得、取り扱い、処理、公開、転送、保存に関する追加規約や要件、ならびに条件を設定するものです。本DPAにて定義されていない用語はすべて、基本契約で定義する当該用語の意味を有するものとします。
1.定義と解釈
1.1 定義。
「データ保護法の適用法」とは、基本契約に関連する両当事者の個人データの処理に適用される法律および規制のことです。適用されるものには、(i) クライアントが直接的または間接的に事業を運営する関連EU加盟国の法律または規則によって、状況に応じて修正および補足される、欧州議会および理事会の一般データ保護規則 (EU) 2016/679 (「GDPR」)、(ii) 2018年英国データ保護法および英国一般データ保護規則 (「UK GDPR」)、 (iii) 1988年オーストラリアプライバシー法および国家プライバシー原則、(iv) 2020年カリフォルニアプライバシー権法によって改正された2018年カリフォルニア州消費者プライバシー法および関連する規制またはガイダンス(総称して「CCPA」)、(v) カナダ個人情報保護および電子文書法(「PIPEDA」)、および (vi) 現在有効である、または今後発効されるその他の国際、連邦、州、省、および地方におけるプライバシーまたはデータ保護に関する法律、規則、規制、指令、および政府要件が含まれます。
「データ主体」は、個人データの主体である個人、および個人データが直接的 / 間接的に関連または識別する個人を指します。
「データプライバシーフレームワーク」には、EU-米国データプライバシーフレームワーク、英国に拡張したEU-米国データプライバシーフレームワーク、スイス-米国データプライバシーフレームワークが含まれています。EU、英国、スイスの法律に沿ったデータ保護対策を確実に実行しながら、欧州経済領域、英国(およびジブラルタル)、スイスから米国に個人データを転送する信頼性の高いメカニズムを米国の組織に提供し、大西洋を超えた通商を行うために、米国商務省および欧州委員会、英国政府、そしてスイス連邦政府がそれぞれ、これらのフレームワークを制定しました。
「EEA」は欧州連合の全加盟国とアイスランド、ノルウェー、リヒテンシュタインで構成される欧州経済領域を指します。
「EU SCCs」は、欧州連合から第三国への個人データ移転に関する欧州委員会の標準契約条項を指します。これについては欧州委員会実施決定(EU)2021/914に記載されており、https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_enで確認できます。
「個人データ」とは、Avettaが処理する情報のうち、(i) そのデータ単体から、またはAvettaが所有 / 管理する他の情報と組み合わせて直接的 / 間接的に識別できる個人情報、または、(ii) データ保護法の適用法が別で定義する保護された個人データまたは個人情報を指します。
「処理」とは、個人データの使用が関わるあらゆる行為、またはデータ保護法の適用法が定義付けしている「処理」という用語を指します。これには、データの取得、記録、保持やあらゆるオペレーションの実行、あるいはデータの整理、修正、検索、使用、開示、消去、抹消など、データに関わるあらゆる操作、または一連の操作が含まれます。また、個人データを第三者機関に移転することも処理に該当します。
「セキュリティ侵害」とは、偶発的あるいは違法な個人データの破壊、紛失・滅失、変更、無断開示、または個人データへのアクセスに繋がるセキュリティ侵害を指します。
「データ主体の権利リクエスト」とは、データ保護法の適用法に基づいてデータ主体が権利を行使することを指します。
「UK補遺」とは、英国個人情報保護監督機関の国際データ移転に関する欧州委員会標準契約条項の補遺を指し、https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidanceでそのコピーを確認することができます。
1.2 本別紙は本DPAの一部を構成するものであり、本DPAにその全文が記載されているのと同等の効力を有します。本DPAに対するすべての言及に本別紙が含まれます。
1.3 「書面」または「書く」と言及される場合には、電子メールも含まれます。
1.4 本DPAの規定と基本契約の条項の間に矛盾や不明確さが生じる場合には、本DPAの条項が優先され、本DPAの条項と別紙Aに記載の条項については、別紙Aの該当の条項が優先されます。
2.処理の役割と範囲
2.1 両当事者の役割。クライアントとAvettaは次の内容を承認し、これに合意します。
(a) Avettaは、クライアントの代理として、またはクライアントの指示の下で個人データの処理を実施する限りにおいて、データ処理者となります。
(b) 財務やアカウント管理、技術サポート、製品開発、分析目的の使用、販売・マーケティング(例:クライアントの管理ユーザーへのニュースレターの配信)など、サービス条項またはAvettaの正当な業務利益に関連するAvetta自身の目的のための個人データ処理の範囲において、Avettaはデータ管理者になります。
2.2 クライアントによる個人データの処理。クライアントは次の内容を承認し、これに同意します。
(a) クライアントは、Avettaに提出された個人データ(クライアントまたはデータ主体のいずれかによるもの)の正確性、品質、および合法性について、単独で責任を負うものとします。
(b) クライアントは、データ保護法の適用法に従ってデータ主体から取得した個人データのみをAvettaにアップロードし、送信するものとします。
(c) クライアントは必要な同意および通知をすべて行い、データ保護法の適用法に基づくその他のすべての要件を満たしており、個人データ(機密データを含む)を合法的に移転する権限をAvettaに付与するとともに、基本契約および本DPAに従ってさまざまな管轄区域でAvettaが行うデータ処理を許可しているものとします。
(d) 同意が個人データの処理に関する法的基盤である場合、またはサービスの使用を求めるものである場合、クライアントはいかなる時も、(i) データ主体からこのような同意を取得するためのメカニズムと (ii) データ主体のためにこのような同意を取り消すためのメカニズムを、それぞれデータ保護法の適用法に従って利用可能な状態にし、維持するものとします。また、
(e) クライアントがサービスを利用することで、データ主体の権利が侵害されることはありません。
2.3 データ処理の詳細。別紙Bでは、一般的な個人データのカテゴリー、データ主体の種類、それからAvettaが基本契約に従って実施する、サービス条項に関連した処理のその他の詳細について説明します。
3.Avettaの義務
3.1 Avettaは別紙Bに記載された移転という特定の目的においてのみ個人データを処理します。ただしAvettaは、(i) データ主体の事前の同意を得た場合や、(ii) 特定の行政、規制、訴訟手続きにおける法的請求の設定、行使、弁護に必要な場合、または (iii) データ主体または他の自然人の極めて重要な利益を保護するために必要な場合といった別の目的で、個人データを処理することがあります。Avettaがクライアントのデータ処理者としての役割を果たす場合に限り、Avettaはクライアントの指示のもとで個人データを処理するものとします。両当事者は、クライアントの指示が基本契約の範囲内であることに同意するものとします。要求された指示内容に追加がある場合には、Avettaの書面による同意書が事前に必要です。当該指示がデータ保護法の適用法を侵害するとAvettaが判断した場合は、Avettaが直ちにクライアントに通知するものとします。該当する場合、クライアントは、データ主体者に関連して必要となる可能性のある伝達や通知、支援、および / または権限に責任を負うものとします。
3.2 Avettaは、自らの処理の性質および自らが利用可能な情報を考慮しながら、データ保護法の適用法に基づくクライアントのコンプライアンス義務を果たせるように、クライアントを合理的にサポートします。ただし、当該サポートの提供に伴いAvetta側に発生した費用については、クライアントが全額を支払うものとします。自然人の権利と自由に、高いリスクが発生する可能性のある特定の類の処理を行う場合において、当該遵守義務には個人データの保護に関する処理作業の影響評価を行う義務が含まれます。(「データ保護影響評価」)。
4.Avettaの従業員
4.1 Avettaは、個人データにアクセス権のある全従業員、または個人データ処理に関与する全従業員が、(i) 個人データの取り扱いと特定職務への適用方法について、データ保護法の適用法に関するトレーニングを受けており、データ保護法の適用法と本DPAに基づくAvettaの職務および個人の職務・義務の両方について認識し、そして (ii)(契約上の義務か法定義務かを問わず)適切な秘密保持義務の下にいることを保証します。
4.2 Avettaは、個人データにアクセスできるAvettaの従業員の信頼性と誠実さ、そして信用性を確保するための妥当な措置を講じます。
5.セキュリティ
5.1 Avettaは、技術水準と実施コスト、処理の性質内容、範囲、状況、目的ならびにデータ主体の権利・自由に対するリスクの発生可能性と重大性を考慮した上で、リスクに相応しいセキュリティレベルを保証する適切な技術的措置および組織的措置を実施しており、別紙Bの付属文書 IIで説明されているセキュリティ対策もこの措置に含まれます。Avettaは付属文書 IIを適宜再検討し、更新することができます。ただし当該更新が、サービスまたは個人データの全体的なセキュリティを大きく損なうことはないものとします。
5.2 クライアントは、Avettaが提供するデータセキュリティ関連の情報を確認し、サービスがクライアントの要件およびデータ保護法の適用法に基づく法的義務に合致しているかという点について独自の判断を下す責任を持ちます。
6.セキュリティ侵害とデータ損失
6.1 Avettaが何らかのセキュリティ侵害に気付いた際には、Avettaは直ちにクライアントに通知するものとします。Avettaの通知は、サービスにてクライアントが登録したメールアドレスに送信されるものとします。当該メールアドレスが登録されていない場合においては、通知手段がAvettaの妥当な裁量で決まること、またAvettaが適宜行う通知機能に負の影響が出ることにクライアントは同意するものとします。Avettaは、セキュリティ侵害の防止や調査、緩和を行うための妥当な措置を速やかに講じるものとします。クライアントがセキュリティ侵害を疑うような事象に気づいた場合には、直ちにinfosec@avetta.comに報告するものとします。
6.2 Avettaは可能な限りにおいて、セキュリティ侵害に関するタイムリーな情報をクライアントに提供するものとします。これらの情報には、セキュリティ侵害の性質と結果、セキュリティ侵害の緩和・阻止のためにAvettaが実施および / または提案する対策、Avettaの調査状況、追加情報を取得できる窓口、それから懸念されるデータ記録のカテゴリーと概数が含まれますが、これに限定されるものではありません。Avettaによる、またはAvettaに代わるクライアントへのセキュリティ侵害の伝達は、セキュリティ侵害の過失または責任をAvettaが認めるものと解釈するものではありません。
7.国境を越えた個人データの移転、必要な契約条項
7.1 クライアントは、Avettaがサービスを提供するために、グローバルベースで個人データを移転、アクセス、処理できることを承認し、これに同意するものとします。
7.2 Avettaへの個人データの移転および / またはAvettaによる個人データの保護に関する契約条項のための特定のメカニズム(総称して「移転メカニズム」)がデータ保護法の適用法に規定されている場合、Avettaは別紙Aにて当該移転メカニズムを(Avettaが一般的にサポートする範囲に限り)利用可能にするものとします。
7.3 個人データ処理の移転および / または個人データ処理の契約条項のための追加要件がデータ保護法の適用法に規定されている場合、クライアントが当該要件に準拠できるようにクライアントと合理的に協力し、別紙Aの移転メカニズムを更新することにAvettaは同意します。クライアントは、追加または変更された移転メカニズムに法的な効果を付与するために合理的に必要となる、更なる書類への署名や更なる措置の実施に同意します。
8.(サブ)プロセッサー
8.1 クライアントは、Avettaが行うデータ処理の範囲において、プロセッサーと関連会社に記載のサブプロセッサーをAvettaが利用し、サービス条項に関連する個人データ処理を行う場合があることに同意します。Avettaは、新たなサブプロセッサーの認可またはサブプロセッサーの交替の少なくとも10日前までに、プロセッサーと関連会社に新たなサブプロセッサー案を掲載し、これをクライアントへの通知とします。本ウェブサイトの更新を定期的に確認することは、クライアントの責任です。Avettaによる本DPAの準拠に関連する新規サブプロセッサーの選任について、クライアントに正当な異議がある場合、Avettaはクライアントの不服に対処するための合理的な努力を行います。解決に至らない場合は、新たなサブプロセッサーの選任を止めるのか、またはクライアントがいずれの当事者にも責任を負わない形で基本契約を一時停止もしくは終了するのを許可するのかという点について、Avettaが独自の裁量で判断します。基本契約に基づいて支払われた金額の返金を行う義務は、Avettaにはないものとします。クライアントは、Avettaがデータ管理者としての役割を担う範囲において、プロセッサーと関連会社に記載、一覧表示された新たなサービスプロバイダーを、Avettaが規定されている目的のために使用できることを追加で承認し、これに同意するものとします。
9.データ主体の権利リクエスト
9.1 両当事者はそれぞれ、一方の当事者が、主体の権利リクエストに準拠するために合理的に必要とされる当該サポートを、データ保護法の適用法によって課せられた期限内に提供することに同意します。
10.第三者によるデータアクセスのリクエスト
10.1 Avettaは、法律または当該機関 / 団体による法的拘束力を持つ命令によって禁止されていない限り、政府や規制当局、あるいは法執行機関からのクライアントの個人データの開示要求をクライアントに通知するものとします。
11.期間と条件
11.1 本DPAは、基本契約の発効日またはAvettaに初めて個人データを提供した日のうち、いずれかの早い方の日に効力が生ずるものとし、基本契約が有効な限りはその効力を有するものとします。
11.2 基本契約の契約期間の終了後も個人データ保護のために、明示的あるいは暗示的に効力を持ち続けるとする本DPAの条項は、完全な効力を維持します。
12.情報の返還と破棄
12.1 Avettaは、クライアントの書面による要求で、相互に同意した形式で保有または保管しているクライアントの個人データのコピーをサプライヤーに提供したり、当該データにアクセスできるようにします。ただしこれは、Avettaが当該個人データを処分する前に要求が出された場合に限ります。
12.2 基本契約の契約終了後、Avettaは合理的な期間内に、Avettaが保有または保管する、本DPA関連のクライアントの個人データを安全な方法で削除または抹消します。本要件は、(i) 個人データの保持が法律、規制、税務、会計または報告要件を満たすケース、訴訟の見込みがあるとAvettaが合理的に確信する場合で法的請求の設定、行使、弁護に必要なケース、そして (ii) Avettaのバックアップポリシーに従って、バックアップ内容が上書きまたは削除されるまでのバックアップシステムの個人データには適用されません。その場合においてAvettaは、該当の法律で要求される場合を除き、削除が可能になるまで個人データを分離・保護してさらに処理されないようにします。
13.監査
13.1 書面で要求があり、クライアントの追加費用が発生しない場合において、Avettaはクライアントおよび / または適切な資格のある第三者代理人(総称して「監査人」)に、AvettaがISO/IEC 27001:2013、ISO/IEC 27701:2019、ISO/IEC 27017:2015、ISO/IEC 27018:2019、ISO/IEC 22301:2019(「ISO認証」)やSOC 2 Type IIなど、別紙Bの付属文書 IIに記載されている関連性のある監査または認証という形式で、本DPAに基づいた義務に順守していることを証明する、合理的に要求された文書を提供するものとします。Avettaはまた、監査人が提出した書面の監査質問状に返答し、電話会議または面談(クライアントの費用負担)で質問の補足にも対応します。ただし、管轄権を持つデータ保護機関の指示で要求された場合を除いて、クライアントは1年に一度以上この権利を行使することはできません。Avettaは、報告書の審査またはAvettaの監査の前に、Avettaと監査人が別の秘密保持契約を締結することを要求することができます。またAvettaは、監査人が適切な資格を有していない、またはAvettaの直接的な競合であるといったAvettaの合理的な意見がある場合において、当該監査人に書面で異議を唱えることができます。Avettaがこのような異議を表明した場合には、クライアントは別の監査人を任命する必要があります。報告書の審査または監査に関連して監査人に生じたすべての費用について、監査人のみがこれを負担するものとします。
14.一般
14.1 両当事者は、Avettaとクライアントが、サービスに関連して過去に締結した既存のデータ補遺条項、別紙、付属文書、または標準契約条項に本DPAが代替し、優先されることに同意します。Avettaは、本DPAを随時更新することができます(例えば、該当のデータ保護法の変更に対応する場合や、合併、買収、企業再編、その他類似の事由が発生した場合、または既存のサービスが新しい特長、機能、製品、サービスのリリースする場合やこれに重大な変更が生じた場合)。ただし、当該更新が個人データのプライバシーまたはセキュリティを大きく損なうことはないものとします。Avettaは、MSAのデータ処理補遺、もしくはAvetta指定の後継サイトに更新版を掲載します。
14.2 本DPAに基づく、または関連性のあるAvettaの責任には、EU SCCsに基づくものも含まれており、基本契約に含まれる責任の除外および制限の対象となります。いかなる場合においても、Avettaがデータ主体または管轄権を持つデータ保護機関に対するその責任を制限、または排除することはありません。
14.3 EU SCCsで明確に提供されている場合や、データ保護法の適用法により必要な場合を除き、本DPAが第三者に利益を供与することはありません。本DPAは、本契約の当事者および許可を受けたそれぞれの承継人および譲受人の利益を目的としたものであり、他の個人の利益になることも、他の個人が本契約条項を履行することもありません。
14.4 本DPAおよび本契約書に関連する行為は、抵触法の原則に有効性を与えることなく、基本契約で指定された法律によって統制され、これに従って解釈されるものとします。両当事者は、基本契約が指定する裁判所の人的管轄権および裁判管轄地に同意します。
14.5 本DPAのいずれかの条項が、何らかの理由で無効または執行不能と判断された場合においても、本DPAのその他の条項は執行力を保持するものとします。上記の一般性を制限することなく、クライアントは、14条2項(填補限度額)が本DPAの条項の強制力を一切持たないにもかかわらず、有効性を保持することに同意します。
別紙A
移転メカニズムと必要な契約条項
本別紙Aは、Avettaがサポートする移転メカニズムを提供します。クライアントからAvettaへの移転が適さない場合においては、移転メカニズムは適用されず、本DPAに組み込まれないものとします。記載の移転メカニズムがデータ保護法の適用法に適用されている場合、または適用可能になる場合は、両当事者が署名したものとみなし(署名が必要な場合)、本DPAに組み込まれるものとします。
1.データプライバシーのフレームワーク。
米国への個人データの移転に関して、Avettaは、米国商務省が定めるEU-米国データプライバシーフレームワーク、英国に拡張したEU-米国データプライバシーフレームワーク、スイス-米国データプライバシーフレームワークの自己認証を行っています。詳細については、www.avetta.com/data-privacy-frameworkにて、Avettaのデータプライバシーフレームワークの通知をご参照ください。
2.EU標準契約条項(EU SCCs)。
個人データをEEA域外のAvettaに移転する処理において、国際移転に関する法的根拠が他にない場合(例えば、該当のデータプライバシーフレームワークが無効になっている場合)は、当該移転には、特にEU SCCsが適用されます。
- Avettaがデータ管理者としての役割を担う状況においては、以下の条件によって補足されるEU SCCのモジュール1(管理者から管理者への移転)がクライアントとAvetta間の個人データ移転に適用されるものとする。
- Clause 7(ドッキング条項)のオプションの言語が使用される。
- Clause 11(a)(救済措置)のオプションの言語が使用されない。
- Clause 17において、第一の契約が使用され、ドイツの法律が準拠法となる。
- Clause 18(b) において、選択されたフォーラムはドイツの裁判所とする。
- 処理に関して、クライアントがデータ管理者で、Avettaがデータ処理者である状況において、以下の条件によって補足されるEU SCCsのモジュール2(管理者から処理者への移転)が適用される。
- Clause 7(ドッキング条項)のオプションの言語が使用される。
- Clause 9(a) において、オプション2(包括的承諾)が選択され、10日間の期間が指定される。
- Clause 11(a)(救済措置)のオプションの言語が使用されない。
- Clause 17において、第一の契約が使用され、ドイツの法律が準拠法となる。
- Clause 18(b) において、選択されたフォーラムはドイツの裁判所とする。
- EU SCCsの付属文書 I、付属文書 II、付属文書 IIIは、別紙Bに記載の情報がすべて記載されているものとみなされる。
3.英国の補遺。個人データを英国外のAvettaに移転する処理において、国際移転に関する法的根拠が他にない場合(例えば、該当のデータプライバシーフレームワークが無効になっている場合)は、当該移転には以下の条件によって補足される英国補遺が適用されます。
- 本英国補遺にある両当事者は、DPAの当事者とします。
- 本英国補遺が修正するEU SCCsは、本別紙A-2で言及される該当のEU SCCsであるものとし、本英国補遺の表1〜3はそれに応じた関連性のある情報を記載するものとします。
- 英国補遺の表4の目的においては、「輸入者」を選択するものとします。
- 英国補遺のPart2について、「Part2とは、承認された補遺の必須条項は、ICOによって発行され、2022年2月2日にデータ保護法2018のs119A に従って議会に提出されたテンプレート補遺 B.1.0であり、当該必須条項18条に基づいて改訂されたものです。」
4.スイス標準契約条項。個人データをスイス国外のAvettaに移転する処理において、国際移転に関する法的根拠が他にない場合(例えば、該当のデータプライバシーフレームワークが認識されておらず、現状は無効になっている場合)には、当該移転は以下の場合を除き、本別紙A-2で言及されるEU SCCsが適用されるものとします。
- 「加盟国」という用語は、当該標準契約条項のclause 18(c) に従い、スイスのデータ主体がその居住地(スイス)の権利を求めて訴訟を起こす可能性を排除するように解釈されるものではありません。
- 移転が、連邦データ保護法(「FADP」)のみが適用される状況においては、GDPRへの言及はFADPへの言及として理解されるものとします。
- 移転がFADPとGDPRの両方が適用される状況においては、移転がFADPの適用対象である場合に限り、GDPRへの言及はFADPへの言及として理解されるものとします。
5.カリフォルニア州消費者プライバシー法(CCPA)。カリフォルニア居住者の個人データに関連する処理を行う場合において、両当事者はさらに以下に従うこととします。
- Avettaは、 (i) 基本契約およびCCPAに説明のある許可された目的においてのみ、個人データの収集、使用、保持、開示を行い、その他の商業目的で当該行為を行うことはありません。(ii) 個人データを販売したり、クロスコンテキスト行動広告に個人データを共有したりすることはありません。(iii) サービスの提供に必要な場合を除き、Avettaとの直接的な業務関係以外で個人データを収集、使用、保持、開示することはありません。(iv) クロスコンテキスト行動広告に関連する業務目的で、CCPAに基づいたものである場合を除き、Avettaがクライアントから、またはクライアントの代わりに受領した個人データと、別の人物の代わりに収集したデータを結合することはありません。それから、(v) 個人データについて、CCPAが求めるプライバシー保護レベル以上のものを提供します。Avettaは、当該の制限について理解していることを証明し、これに従います。
- クライアントは、(i) Avettaが本DPAを順守していることを監視する権利、および (ii) AvettaがCCPAに従って個人データを利用できるように、合理的かつ適切な措置を講じる権利を有するものとします。AvettaがCCPAに基づいた義務をこれ以上果たすことができないと判断した場合は、Avettaがクライアントに通知するものとします。このような場合において、Avettaはクライアントと協力して合理的で適切な措置を講じ、処理がCCPAおよび本DPAに準拠するまであらゆる処理を停止し、修正するものとします。
別紙B
個人データ処理の詳細
本別紙Bは本DPAの一部を構成するものであり、サービス規定に関連してAvettaが行う処理について説明します。
付属文書 I - データ処理の説明
A.当事者一覧
データ輸出者:
データ輸入者:
B.移転者の説明
C.管轄の監督機関
付属文書 II – 技術面および組織面におけるセキュリティ対策
概要
Avettaのサービスとしてのソフトウェアアプリケーション(「SaaSサービス」)は、当初からセキュリティを念頭に置いて設計されたものです。Connectおよびワークフォース管理のSaaSサービスは、各処理層にわたるさまざまなセキュリティコントロールを用いて、多様なセキュリティリスクに対処できるように構成されています。当該セキュリティコントロールは変更される場合がありますが、いかなる変更もSaaSプラットフォームのセキュリティ状況を維持または改善するものです。
以下のセキュリティコントロールの主要な領域は、AvettaのSaaSサービスであるConnectおよびワークフォース管理の各コンポーネントに適用されます。AvettaはSaaSサービスをクラウドサービスプロバイダーのプラットフォームでホストしており、主に利用するのはアマゾン・ウェブ・サービス(AWS)ですが、限定的な例ではEquinixも利用しています。
監査と認証
Avetta SaaSサービスは、ISO/IEC 27001:2013、ISO/IEC 27701:2019、ISO/IEC 27017:2015、ISO/IEC 27018:2019、ISO/IEC 22301:2019(「ISO認証」)で認証されています。Avettaは、内部統制監査を実施することでISO認証への準拠を毎年審査します。Avettaの上級幹部のリーダーがメンバーとなり構成する、情報セキュリテイ・プライバシー管理システム委員会が当該監査を審査します。
SaaSサービスのコンピューティングおよびストレージにおいて、Avettaは主に、グローバルなAWSリージョンを利用します。AWSは、複数の認証(SOC2、ISO/IEC 27001:2022、 ISO/IEC 27017:2015、ISO/IEC 27018:2019、ISO/IEC 27701:2019、 ISO/IEC 22301:2019、 ISO/IEC 20000-1:2018、そしてISO/IEC 9001:2015.)を取得した一流の設備を提供しています。これらのAWSの設備は、Avettaの顧客データが保存、処理される場所において、最先端の物理的な保護措置を提供しています。Avettaは特定の地域において、ワークフォース管理のクラウドサービスプロバイダーとしてEquinixを利用しています。Equinixもまた、複数の認証(ISO/IEC 27001、 ISO/IEC 22301、ISO/IEC 14001、ISO/IEC 9001、ISO/IEC 50001、PCI DSS、SOC 1 Type II、そしてSOC 2 Type II)を保持しています。クラウドサービスプロバイダーに関する詳細情報については、https://aws.amazon.com/compliance/programs/ および https://www.equinix.com/data-centers/asia-pacific-colocation/australia-colocation/sydney-data-centers/sy6をご確認ください。
災害復旧と事業継続
SaaSサービスが高レベルなシステム可用性を確実に維持できるようにするために、Avettaは、通常の本番データ処理施設とは地理的位置が異なる場所にある指定のバックアップ / フェイルオーバーAWSデータセンターを利用しています。これによりAvettaは、本番環境用のAWS施設を妨害する原因となり得る、あらゆる環境的、物理的、偶発的な事象に素早く対応することができます。
Avettaは災害復旧と事業継続に関する包括的な計画を維持し、最低でも年に一度これを再検討しています。こういった計画の再検討により、Avettaの職員は緊急時対応計画に精通し、Avettaの通常の事業活動に支障をきたす可能性のある事象が発生した場合に備えることができます。
Avettaのシステムは、2時間以内の目標復旧地点(RPO)と4時間以内の目標復旧時間(RTO)をサポートするように設計されています。
またAvettaでは包括的なリスク評価を定期的に実施し、適切なリスク緩和戦略および管理が組織内で実施されていることを確認しています。
インシデント対応
Avettaは、包括的なインシデント対応計画を維持しています。関連する処理と手順が組み込まれた当該計画によって、Avettaの職員は、Avettaの環境内で起こるセキュリティ侵害が疑われる事象やセキュリティ侵害の可能性のある事象、その他の疑わしいサイバーセキュリティ活動に素早く対応することができます。適格なセキュリティチームメンバーが率いるインシデント対応チームが、このようなあらゆる状況を評価し、適切な行動計画と緩和戦略を策定します。疑わしい侵害を確認した場合には、インシデント対応チームが指定のプロトコルに従って直ちに行動し、フォレンジックの証拠を保存するとともに、悪意のある活動を緩和するための適切な対応を行います。また、通知手順にも従います。
暗号化
AvettaのSaaSサービスは、AES-256を用いて保存データの暗号化を維持します。また追加のデータ要素も、SALT手法を用いて暗号化されます。当該暗号化処理によって、顧客データの高度な機密性と完全性を維持します。AvettaのSaaSサービスにおいて論理的なデータ分離が維持されるため、顧客データが権限のないソースにアクセスされることはありません。顧客データへのアクセスは、権限のないユーザが顧客データにアクセスするのを却下する属性を持つ、独自のIDアクセス管理によって制御されています。
Avettaのセキュリティ対策は、「最小特権の法則」という手法に基づいて実施されます。そのため、特定のデータおよびシステム機能のアクセス権を所有するのは、業務上必要性のある従業員に限られます。
ウェブアプリケーションのセキュリティコントロール
顧客は、TLS 1.2またはそれ以上の安全な通信プロトコルを経由する場合にのみSaaSサービスにアクセスできます。これにより、暗号チャネルが構築され、エンドユーザーとSaaSサービス間で安全なデータ転送が可能になります。このようにすることで、データ転送処理の間も顧客データを保護することができます。
顧客のSaaSサービス管理者は、SaaSサービスのユーザーおよび関連するアクセスに対して、必要に応じたプロビジョニングとデプロビジョニングを行うことができます。SaaSサービスでは、顧客はIDプロバイダーであるSAML 2.0を介したシングルサインオンを利用して、SaaSサービスのアカウントにアクセスするための多要素認証を有効にすることができます。またSaaSサービスにおいて、顧客はカスタムパスワードポリシーを有効にし、SaaSサービスのパスワードを顧客の会社ポリシーに沿わせることができます。
ネットワーク
SaaSサービスは、クラウドサービスプロバイダーのネットワークコントロールを利用して、ネットワークのイングレスとエグレスを制限します。ネットワーク活動を許可されたエンドポイントに制限するために、セキュリティグループが採用されます。SaaSは、クラウドサービスインフラ内のプライベート、DMZ、および非信頼ゾーンを活用し、複数の論理的に分離されたCloudflareの仮想環境を含むマルチティアのネットワーク構造を使用します。
監視と監査
SaaSサービスシステムおよびネットワークは、セキュリティインシデント、システムの健全性、ネットワークの異常、処理活動、インフラの処理レベル、そして可用性を監視します。Avettaは侵入検知システムを利用して、ネットワーク活動を監視し、疑わしい行為があればAvettaの指定のチームのメンバーに警告を出します。またウェブアプリケーションのファイアウォールは、すべての公開ウェブサービスにも実装されています。
Avettaはアプリケーションやネットワーク、ユーザー、オペレーティングシステムのイベントのログを、ローカルのSyslogサーバーとSIEMに記録します。当該ログは自動的に解析され、疑わしいアクティビティと脅威を再調査します。システムアクティビティのいかなる異常も、必要とされる可能性のある適切な措置とともにエスカレーションされます。Avettaはセキュリティ情報、およびイベント管理システムを活用してAvettaネットワークのセキュリティ解析を継続的に行い、疑わしいまたはその可能性のある行為のサインの警告、検知、報告が記録されるセキュリティ環境を提供します。なお、Avettaの開発運用チームとサイバーセキュリティスタッフが、当該機能およびアクティビティをすべて管理します。
脆弱性管理
Avettaは包括的なセキュリティプログラムの一環として、ウェブアプリケーションの脆弱性診断、静的コード解析、外部セキュリティ診断を定期的に行い、適切なセキュリティコントロールが実装され、効果的なオペレーティングが実施されていることを確認します。また年に2回、Avettaは脆弱性およびペネトレーションテストを行うために独立した第三者機関を雇用し、ネットワークとウェブの脆弱性診断を行います。これらの外部監査の範囲には、オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト(OWASP)のTop 10 Web Vulnerabilities(ウェブの脆弱性上位10件)の遵守も含まれます。脆弱性診断の結果は、Avettaのソフトウェア開発サイクル(「SDLC」)に組み込まれ、特定された脆弱性を修正します。また特定の脆弱性については、優先的にAvettaの内部チケットシステムに登録され、解決するまで追跡されます。
セキュアソフトウェア開発
Avettaは、SDLCのセキュア開発プラクティスを順守します。これらのプラクティスには、静的コード解析とリアルタイムコード解析のツールが含まれます。また、本番環境にコードがデプロイされる前の段階で査読も行われます。Avettaには、本番、テスト / 品質保証、デモのための分離された処理環境が実装されています。Avettaのソフトウェア開発者には、年に一度、セキュアコーディングのトレーニングを受講することが求められています。
Avettaのサイバーセキュリティチーム
Avettaには、サイバーセキュリティ分野で修士号を持つサイバーセキュリティマネージャーが率いる、セキュリティ専門チームがあります。このチームは、全社的なセキュリティトレーニング、セキュリティ演習、脆弱性・ペネトレーション演習を定期的に行なっています。このような取り組みを通じて、サイバーセキュリティチームは技術的な有効性と組織的な対策のテスト、評価、査定を定期的に行い、顧客データ処理の安全性を確保しています。
またサイバーセキュリティチームは、年に一度の監査や認証に参加し、サイバーセキュリティに関するセミナーにも出席しています。
プライバシーとデータ保護
Avettaは、強固な情報セキュリティおよび個人データ保護のポリシーを維持します。これらのポリシーは、顧客情報を確実に保護するために従うべき手順を概説するものです。当該ポリシーでは、データ保持、アクセシビリティと認証ガイドライン、利用許容に関するガイドライン、およびデータプライバシーのガイドラインなど、実装される管理機能について詳しく概説しています。
付属文書 III – サブプロセッサーリスト
Avettaの現在のサブプロセッサーは、プロセッサーと関連会社で確認できます。